信息安全評(píng)估評(píng)測(cè)體系研究及ISMS審核實(shí)踐

作者簡(jiǎn)介：

李莉，中國(guó)信息通信研究院,主要從事信息系統(tǒng)和網(wǎng)絡(luò)設(shè)備安全研究和測(cè)試工作

魏巨升，北京天陽(yáng)睿博科技有限公司, 主要從事通信系統(tǒng)研發(fā)工作

1   引言

信息系統(tǒng)安全是現(xiàn)代社會(huì)正常運(yùn)行的基礎(chǔ)。國(guó)際組織及各國(guó)都開(kāi)展了廣泛的研究，制定了系列標(biāo)準(zhǔn)，推薦了若干最佳實(shí)踐。保障信息系統(tǒng)安全的制度及方法有等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估、信息安全管理體系（ISMS）審核等。不同方法制度的側(cè)重點(diǎn)不同，組織在其產(chǎn)品或業(yè)務(wù)生命周期的不同階段運(yùn)用不同的方法，來(lái)確保其信息系統(tǒng)的安全。

2   風(fēng)險(xiǎn)評(píng)估、等級(jí)保護(hù)與ISMS

2.1 風(fēng)險(xiǎn)評(píng)估

信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估，是指具有風(fēng)險(xiǎn)評(píng)估資質(zhì)的機(jī)構(gòu)，依照風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)的要求，制定特定的風(fēng)險(xiǎn)評(píng)估方案，對(duì)組織的信息系統(tǒng)及信息安全產(chǎn)品進(jìn)行評(píng)估，給出風(fēng)險(xiǎn)評(píng)估結(jié)論及改進(jìn)建議的過(guò)程，目的是全面了解信息系統(tǒng)和產(chǎn)品的安全狀況水平，控制風(fēng)險(xiǎn)，盡可能保障信息系統(tǒng)和產(chǎn)品安全。

信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的研究起源于上世紀(jì)70年代，ISO和歐美、亞太等國(guó)家和國(guó)際組織在該領(lǐng)域進(jìn)行了積極探索和深入的研究，制定了一系列標(biāo)準(zhǔn)，形成了較成熟的模型和工具。我國(guó)也積極開(kāi)展風(fēng)險(xiǎn)評(píng)估方面的研究，制定和同等采用了一系列的標(biāo)準(zhǔn)。

國(guó)際組織和各國(guó)陸續(xù)制定了系列安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)。1985年美國(guó)國(guó)防部發(fā)布了《可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則》（TCSEC， Trusted Computer System Evaluation Criteria）；90年代，西歐、美、加等國(guó)在此基礎(chǔ)上提出改進(jìn)標(biāo)準(zhǔn)《信息技術(shù)安全評(píng)估準(zhǔn)則》（ITSEC， Information Technology Security Evaluation Criteria）、《加拿大可信計(jì)算機(jī)產(chǎn)品評(píng)估準(zhǔn)則》（CTCPEC， Canadian Trusted Computer Products Evaluation Criteria）、《通用信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)》（CC， Common  Criteria for IT Security Evaluation）。其中CC標(biāo)準(zhǔn)被批準(zhǔn)為信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)ISO/IEC 15408。此外，國(guó)際上風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)還有《信息安全管理實(shí)施規(guī)范》（ISO/IEC 17799）、《信息技術(shù)安全管理指南》（ISO/IEC 13335）、《信息安全風(fēng)險(xiǎn)管理》（ISO/IEC 27005）、卡內(nèi)基梅隆大學(xué)提出的OCTAVE評(píng)估方法（Operationally Critical Threat, Asset, Vulnerability Evaluation）和《信息安全工程能力成熟度模型》（SSE-CMM，System Security Engineering Capability Maturity Model）等。以上標(biāo)準(zhǔn)對(duì)風(fēng)險(xiǎn)評(píng)估進(jìn)行了明確的定義，對(duì)規(guī)范和指導(dǎo)風(fēng)險(xiǎn)評(píng)估工作起到了積極作用。這些標(biāo)準(zhǔn)也有一定的局限性，如TCSEC、ITSEC、CTCPEC更注重技術(shù)層面，對(duì)于管理層面重視不夠；BS ISO/IEC 17799被廣泛接受，標(biāo)準(zhǔn)覆蓋內(nèi)容廣，但缺少技術(shù)測(cè)量精度，實(shí)施困難。相比之下CC從安全功能和安全保證兩個(gè)方面予以規(guī)范，是比較全面的評(píng)估準(zhǔn)則。ISO/IEC 27005則從生命周期的角度，將風(fēng)險(xiǎn)評(píng)估作為計(jì)劃的一部分，經(jīng)過(guò)PDCA（Plan-Do-Check-Ack）循環(huán)不斷完善風(fēng)險(xiǎn)管理過(guò)程。

為風(fēng)險(xiǎn)評(píng)估能規(guī)范實(shí)施，各個(gè)標(biāo)準(zhǔn)制定機(jī)構(gòu)和研究機(jī)構(gòu)提出了多種信息安全模型。ISO/IEC 13335提出了信息安全風(fēng)險(xiǎn)關(guān)系模型，給出了八個(gè)安全要素及其之間的關(guān)系。八個(gè)要素即資產(chǎn)、威脅、脆弱點(diǎn)、影響、風(fēng)險(xiǎn)、防護(hù)措施、殘余風(fēng)險(xiǎn)和限制條件八個(gè)要素。一些IT管理方法可能注重一些方面而忽略另一些方面，ISO/IEC 13335的信息安全風(fēng)險(xiǎn)管理模型提供了一個(gè)更通用的方法，促使能夠全面考慮安全問(wèn)題。ISO/IEC 15408同樣提出了信息安全風(fēng)險(xiǎn)評(píng)估的要素和風(fēng)險(xiǎn)評(píng)估模型。ISO/IEC 15408的風(fēng)險(xiǎn)評(píng)估要素包括攻擊者、屬主、資產(chǎn)、威脅、漏洞、風(fēng)險(xiǎn)、措施。ISO/IEC 27005采用了PDCA循環(huán)，體現(xiàn)了持續(xù)改進(jìn)不斷完善的風(fēng)險(xiǎn)評(píng)估方式。這些模型對(duì)風(fēng)險(xiǎn)評(píng)估的實(shí)施起到了積極作用。

風(fēng)險(xiǎn)評(píng)估的不同階段，使用不同的風(fēng)險(xiǎn)評(píng)估方法。在資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別、已有安全措施識(shí)別階段通，常使用現(xiàn)場(chǎng)調(diào)查、人員訪談、調(diào)查問(wèn)卷的方式，或者使用技術(shù)手段進(jìn)行手動(dòng)檢查或工具協(xié)助分析。風(fēng)險(xiǎn)分析階段，可以采用定性評(píng)估方法、定量評(píng)估方法或者二者結(jié)合的方法。定性評(píng)估方法基于評(píng)估者的經(jīng)驗(yàn)，對(duì)評(píng)估中的多個(gè)要素值進(jìn)行定性分析，如威脅的大小和脆弱性大小。這種方法對(duì)評(píng)估者素質(zhì)和經(jīng)驗(yàn)的要求較高，通常會(huì)在類(lèi)似頭腦風(fēng)暴的會(huì)議上協(xié)商決定，而不會(huì)完全依賴一個(gè)專(zhuān)家的意見(jiàn)。定量分析在數(shù)據(jù)統(tǒng)計(jì)的基礎(chǔ)上，將風(fēng)險(xiǎn)分析過(guò)程量化并得出定量的結(jié)果。定量分析的難點(diǎn)是建模，各種復(fù)雜的相互影響的因素對(duì)風(fēng)險(xiǎn)分析的建模帶來(lái)挑戰(zhàn)，同時(shí)數(shù)學(xué)模型對(duì)客觀事物抽象的準(zhǔn)確程度和側(cè)重點(diǎn)也因模型而異。目前使用較多的是信息安全風(fēng)險(xiǎn)分析的定性分析法。

風(fēng)險(xiǎn)評(píng)估通常用到多種不同的工具。包括漏洞掃描工具、漏洞挖掘、主機(jī)配置檢查工具、主機(jī)安全審計(jì)工具、滲透測(cè)試工具、入侵檢測(cè)工具等。有些工具是安全公司依據(jù)特定標(biāo)準(zhǔn)和特定目的開(kāi)發(fā)的，也有開(kāi)源免費(fèi)軟件。COBRA（Consultative,  Objective and Bi-functional Risk Analysis）是英國(guó)的C&A公司基于ISO 17799發(fā)布的風(fēng)險(xiǎn)評(píng)估工具。COBRA在知識(shí)庫(kù)和專(zhuān)家系統(tǒng)的基礎(chǔ)上，通過(guò)問(wèn)卷調(diào)查的方式，評(píng)估風(fēng)險(xiǎn)并生成風(fēng)險(xiǎn)評(píng)估報(bào)告。 CRAMM（CCTA Risk Analysis and Management Method）是1985年英國(guó)政府中央計(jì)算機(jī)與電信局開(kāi)發(fā)的風(fēng)險(xiǎn)分析工具。CRAMM依據(jù)BS 7799開(kāi)發(fā)，同時(shí)支持定量分析和定性分析。美國(guó)NIST針對(duì)NIST SP800-26標(biāo)準(zhǔn)，開(kāi)發(fā)了免費(fèi)的安全風(fēng)險(xiǎn)自我評(píng)估軟件ASSET（Automated Security Self-Evaluation Tool）。ASSET也采用問(wèn)卷調(diào)查的方式收集數(shù)據(jù)，具有定性和定量調(diào)查的分析特點(diǎn)。還有很多偏重技術(shù)的風(fēng)險(xiǎn)評(píng)估工具，如Synopsis公司的Defencics漏洞挖掘工具和Beyond Security公司開(kāi)發(fā)的 beSTORM自動(dòng)化模糊測(cè)試工具。這些軟件工具各具體點(diǎn)，多是針對(duì)特定標(biāo)準(zhǔn)或特定協(xié)議開(kāi)發(fā)的，能一定程度上提高評(píng)估效率和評(píng)估客觀性。

我國(guó)于1999年頒布了與TCSEC對(duì)應(yīng)的《GB 17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》，于2001年頒布了與CC標(biāo)準(zhǔn)對(duì)應(yīng)的系列標(biāo)準(zhǔn)《GB/T 18336-2001 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則》，2001年同等采用ISO/IEC1333-1，發(fā)布了《GB/T 19715-2005 信息技術(shù) 信息技術(shù)安全管理指南》系列標(biāo)準(zhǔn)。隨后，我國(guó)制定和頒布了一系列信息安全技術(shù)標(biāo)準(zhǔn)。2005年頒布《GB/T 19716-2005 信息技術(shù) 信息安全管理實(shí)用規(guī)則 》， 2007年頒布了《GB/Z 20986-2007信息安全技術(shù) 信息安全事件分類(lèi)分級(jí)指南》、《GB/T 20984-2007 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》和《GB/Z 20985-2007 信息技術(shù) 安全技術(shù) 信息安全事件管理指南》，2009年頒布《GB/Z 24364-2009 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)管理指南》，2015年頒布《GB/T 31509-2015 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》。國(guó)內(nèi)信息安全標(biāo)準(zhǔn)的發(fā)布，充分體現(xiàn)出我國(guó)對(duì)信息安全的重視，各個(gè)標(biāo)準(zhǔn)在信息技術(shù)行業(yè)的實(shí)施，提高了社會(huì)對(duì)信息安全的重視程度，積極促進(jìn)信息安全水平不斷提高。如啟明星辰提供專(zhuān)業(yè)的風(fēng)險(xiǎn)評(píng)估服務(wù)，綠盟推出基于大數(shù)據(jù)的風(fēng)險(xiǎn)評(píng)估產(chǎn)品NSFOCUS IDR（NSFOCUS Insight for Discovery and Risk）等。

2.2 等級(jí)保護(hù)

在美國(guó)國(guó)防部制定的TCSEC中及后續(xù)的系列安全指南中，計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則從操作系統(tǒng)、數(shù)據(jù)庫(kù)和計(jì)算機(jī)網(wǎng)絡(luò)的不同角度，對(duì)信息系統(tǒng)安全進(jìn)行了規(guī)范要求，結(jié)合已有安全措施、安全策略、系統(tǒng)應(yīng)用等方面的信息，將系統(tǒng)分為四類(lèi)（A~D）八個(gè)等級(jí)（D、C1、C2、B1、B2、B3、A1、超A1）。最低級(jí)D級(jí)是無(wú)保護(hù)級(jí)，即不能處理敏感信息的系統(tǒng)。C類(lèi)是自主保護(hù)等級(jí)，B類(lèi)為強(qiáng)制保護(hù)即，A類(lèi)為驗(yàn)證保護(hù)級(jí)。

我國(guó)的等級(jí)保護(hù)制度是在國(guó)家行政制度引導(dǎo)和推動(dòng)下建立發(fā)展的。1994國(guó)務(wù)院發(fā)布《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，標(biāo)志我國(guó)開(kāi)始施行計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)制度。為推進(jìn)保護(hù)條例的落實(shí)，公安部制定了國(guó)家標(biāo)準(zhǔn)《GB 17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》和一系列公共安全行業(yè)標(biāo)準(zhǔn)。公共安全行業(yè)標(biāo)準(zhǔn)包括《GA/T 387-2002 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求》、《GA 388-2002 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求》、《GA/T 390-2002 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求》、《GA 391-2002 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求》。我國(guó)的信息系統(tǒng)劃分為五個(gè)等級(jí)，由低到高為自主保護(hù)級(jí)、指導(dǎo)保護(hù)級(jí)、監(jiān)督保護(hù)級(jí)、強(qiáng)制保護(hù)級(jí)和專(zhuān)控保護(hù)級(jí)。等級(jí)保護(hù)是從信息系統(tǒng)本身業(yè)務(wù)的重要程度和遭到破壞后對(duì)組織自身、社會(huì)及國(guó)家造成影響的嚴(yán)重程度來(lái)劃分的，自主保護(hù)級(jí)為最低級(jí)，專(zhuān)控保護(hù)級(jí)為最高級(jí)。

隨著社會(huì)的發(fā)展和技術(shù)的進(jìn)步，我國(guó)在發(fā)布了《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》2.0版本，于2019年12月1日開(kāi)始實(shí)施。等保2.0的重大變化在于從之前的被動(dòng)防御發(fā)展為主動(dòng)防御，注重全流程的全面審計(jì)和安全感知，在傳統(tǒng)信息系統(tǒng)和基礎(chǔ)信息網(wǎng)絡(luò)的基礎(chǔ)上拓展覆蓋了工業(yè)控制信息系統(tǒng)、云計(jì)算平臺(tái)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)及其他網(wǎng)絡(luò)和大數(shù)據(jù)。

2.3 ISMS

ISMS是眾多風(fēng)險(xiǎn)評(píng)估模型中的一種。ISMS的主要特點(diǎn)在于特定情境中的實(shí)踐性。

1993年，英國(guó)的學(xué)者和一些自愿參與的公司發(fā)起了一個(gè)“安全實(shí)踐指南”項(xiàng)目，項(xiàng)目的發(fā)包方英國(guó)商務(wù)部商業(yè)計(jì)算機(jī)安全中心，希望這個(gè)指南能夠與ITSEC一同規(guī)劃設(shè)計(jì)。但是項(xiàng)目組考慮到項(xiàng)目實(shí)踐化的目的與ITSEC的方向并不完全一致，最終單獨(dú)發(fā)布，并最終被采納為英國(guó)國(guó)家標(biāo)準(zhǔn)BS 7799。2000 年，成為國(guó)際標(biāo)準(zhǔn)ISO/IEC 17799。2005 年，重新編號(hào)成為ISO/IEC 27002。ISO/IEC 27000標(biāo)準(zhǔn)簇目前已經(jīng)有二十多個(gè)，其中ISO/IEC 27001和ISO/IEC 27002是最重要的兩個(gè)標(biāo)準(zhǔn)，已被我國(guó)同等采用為GB/T 22080和GB/T 22081。通常術(shù)語(yǔ)“ISMS”指在ISO/IEC27000標(biāo)準(zhǔn)簇指導(dǎo)下建立的組織信息安全管理體系。

產(chǎn)品的或系統(tǒng)的脆弱性是其固有特性，同樣的產(chǎn)品應(yīng)用于不同的環(huán)境，對(duì)客戶業(yè)務(wù)的重要程度不盡相同，體現(xiàn)為不同的資產(chǎn)價(jià)值。比較而言，CC標(biāo)準(zhǔn)更注重產(chǎn)品的脆弱性，更關(guān)注在預(yù)期應(yīng)用場(chǎng)下產(chǎn)品自身的安全風(fēng)險(xiǎn)，而非實(shí)際應(yīng)用中客戶的業(yè)務(wù)和實(shí)際資產(chǎn)價(jià)值。ISMS是一套保障組織信息安全的方法，是組織管理體系的組成部分。 具有ISMS認(rèn)證資質(zhì)的機(jī)構(gòu)對(duì)組織進(jìn)行信息安全管理體系認(rèn)證，通過(guò)認(rèn)證的組織可以獲得證書(shū)。

ISMS具有同QMS樣的標(biāo)準(zhǔn)結(jié)構(gòu)。ISMS系列標(biāo)準(zhǔn)除基本要求外，還涉及信息安全控制實(shí)踐指南、管理體系實(shí)施指南、測(cè)量、風(fēng)險(xiǎn)管理、行業(yè)通信安全管理、信息安全治理、及認(rèn)證機(jī)構(gòu)要求和審核員指南等內(nèi)容。該標(biāo)準(zhǔn)簇旨在通過(guò)行業(yè)最佳實(shí)踐和審核的方式，促進(jìn)組織的信息安全。

2.4 各種信息安全評(píng)測(cè)制度的對(duì)比

等級(jí)保護(hù)是基本的安全管理原則，等級(jí)保護(hù)通過(guò)按照信息系統(tǒng)的重要性劃分安全等級(jí)，并針對(duì)不同的安全等級(jí)提出相應(yīng)的安全要求。各種風(fēng)險(xiǎn)評(píng)估和安全評(píng)測(cè)都是在等級(jí)保護(hù)制度指導(dǎo)下的具體的研究分析方法，等級(jí)保護(hù)制度要高于風(fēng)險(xiǎn)評(píng)估和安全評(píng)測(cè)。各種風(fēng)險(xiǎn)評(píng)估和安全評(píng)測(cè)要充分考慮等級(jí)保護(hù)提出的要求，在資產(chǎn)識(shí)別、脆弱性識(shí)別、威脅識(shí)別、風(fēng)險(xiǎn)分析評(píng)價(jià)等各個(gè)階段都要考慮到等級(jí)保護(hù)要求，判斷安全現(xiàn)狀與等級(jí)保護(hù)要求的符合程度和差距，合理處置殘余風(fēng)險(xiǎn)，使不可接受風(fēng)險(xiǎn)的處置計(jì)劃與等級(jí)保護(hù)工作的要求相一致。

風(fēng)險(xiǎn)評(píng)估是開(kāi)展等級(jí)保護(hù)和安全建設(shè)、運(yùn)維的重要手段。風(fēng)險(xiǎn)評(píng)估與傳統(tǒng)的以技術(shù)為導(dǎo)向的安全設(shè)計(jì)和安全方案不同，它從安全建設(shè)的實(shí)際出發(fā)，結(jié)合成本效益因素，對(duì)用戶的重要軟硬件資產(chǎn)進(jìn)行分級(jí)，全面分析安全威脅，考慮安全威脅利用脆弱性的可能，通過(guò)分析已有安全措施，用定性或定量分析的方法，推斷出客戶資產(chǎn)的安全風(fēng)險(xiǎn)，提出風(fēng)險(xiǎn)處置計(jì)劃，并跟蹤風(fēng)險(xiǎn)處置計(jì)劃的實(shí)施效果來(lái)確保業(yè)務(wù)系統(tǒng)的安全。

多數(shù)風(fēng)險(xiǎn)評(píng)估方法主要關(guān)注產(chǎn)品或信息系統(tǒng)在預(yù)期應(yīng)用中的固有安全風(fēng)險(xiǎn)，而不是實(shí)際應(yīng)用中的安全。然而，任何產(chǎn)品或信息系統(tǒng)，都必須在實(shí)際應(yīng)用的場(chǎng)景中發(fā)揮其功能。ISMS的關(guān)注點(diǎn)是應(yīng)用場(chǎng)景，是一種實(shí)踐指南。ISMS通過(guò)在客戶業(yè)務(wù)現(xiàn)場(chǎng)審計(jì)，對(duì)信息安全策略、人力資源、資產(chǎn)、物理和環(huán)境安全、通信安全、供應(yīng)商安全等各種現(xiàn)實(shí)情況進(jìn)行審計(jì)。ISMS中對(duì)風(fēng)險(xiǎn)評(píng)估有強(qiáng)制性的要求，這個(gè)風(fēng)險(xiǎn)評(píng)估可以由第三方，也可組織自身或第二方實(shí)施。具有ISMS審核資質(zhì)的機(jī)構(gòu)對(duì)組織進(jìn)行信息安全管理體系整體符合性審核，審核通過(guò)后頒發(fā)證書(shū)。

3   ISMS的第三方審核實(shí)踐

ISMS依據(jù)ISO/IEC 27000標(biāo)準(zhǔn)簇，由ISO/IEC JTC 1/SC 27/WG 1 發(fā)布。ISMS具有和QMS、EMS和OHSMS相同的標(biāo)準(zhǔn)結(jié)構(gòu)，ISO系列標(biāo)準(zhǔn)采用相同體系章節(jié)架構(gòu)的目的是為了加強(qiáng)各管理系統(tǒng)的兼容性，使組織在選擇多個(gè)標(biāo)準(zhǔn)增強(qiáng)組織的管理時(shí)，能有效地將組織的業(yè)務(wù)和各管理體系相融合。信息安全管理體系審計(jì)主要依據(jù)GB/T 22080-2016/ISO/IEC 27001:2013，該標(biāo)準(zhǔn)采用正文加附錄的形式，正文提出了安全通用要求，附錄制定了具體的安全控制目標(biāo)。組織聲稱符合ISO/IEC 27001時(shí)，對(duì)于正文中的章節(jié)都不能刪減，必須滿足全部要求；而附錄A中的參考控制目標(biāo)和控制可以增加也可以刪除，即組織可以聲稱滿足部分控制目標(biāo)也可以增加內(nèi)容聲稱滿足更多的安全目標(biāo)。在審核實(shí)踐中，ISO/IEC 27001的正文和附錄都是審核準(zhǔn)則。

組織進(jìn)行ISMS認(rèn)證的目的可能是主動(dòng)的，源于自身提高管理水平要求的目的，也可能是被動(dòng)的，為了滿足市場(chǎng)招投標(biāo)等要求的目的。在理解組織及其環(huán)境的條款審核中，首先要與領(lǐng)導(dǎo)層溝通，了解組織所處的內(nèi)外部環(huán)境、組織進(jìn)行ISMS認(rèn)證的目的、組織關(guān)注的信息安全風(fēng)險(xiǎn)點(diǎn)，這有利于提高ISMS審核的有效性和針對(duì)性。組織所處的外部環(huán)境，主要從物理環(huán)境、網(wǎng)絡(luò)環(huán)境、政策法規(guī)對(duì)信息安全方面的要求、客戶和供方對(duì)信息安全的要求等方面去考慮；組織所處的內(nèi)部環(huán)境，主要考慮技術(shù)資源、設(shè)備資源、網(wǎng)絡(luò)資源和人力資源等。在確定信息安全管理體系范圍的審核中，要確認(rèn)組織的物理邊界、邏輯邊界和業(yè)務(wù)邊界是否清晰，是否考慮了相關(guān)方及其信息安全要求，并形成文件化信息。注意識(shí)別是否有不包含在ISMS體系范圍內(nèi)的業(yè)務(wù)過(guò)程，這些業(yè)務(wù)過(guò)程對(duì)體系運(yùn)行的有效性是否有影響。對(duì)于這點(diǎn)，一般的原則是獨(dú)立的業(yè)務(wù)過(guò)程可以不包含在ISMS體系內(nèi)，但是行政、人力、財(cái)務(wù)這樣的支持部門(mén)的業(yè)務(wù)不支持分割在體系外，應(yīng)當(dāng)作為ISMS體系審核的對(duì)象。信息安全管理體系的審核中，關(guān)注體系建立運(yùn)行的時(shí)間，體系運(yùn)行的效果是否達(dá)到了預(yù)期。

在審核組織的信息安全管理角色、責(zé)任和權(quán)限時(shí)，ISMS沒(méi)有要求建立管理者代表，有關(guān)于設(shè)立風(fēng)險(xiǎn)責(zé)任人的要求。風(fēng)險(xiǎn)責(zé)任人指對(duì)風(fēng)險(xiǎn)責(zé)任有權(quán)利和責(zé)任的人或?qū)嶓w，有對(duì)組織的風(fēng)險(xiǎn)處置計(jì)劃和殘余風(fēng)險(xiǎn)接受進(jìn)行批準(zhǔn)的權(quán)限，一般都是公司的總經(jīng)理兼任風(fēng)險(xiǎn)責(zé)任人。審核中可查看信息安全風(fēng)險(xiǎn)責(zé)任權(quán)限分配表，或者是部門(mén)崗位責(zé)任說(shuō)明書(shū)一類(lèi)的文件，檢查文件中是否包含信息安全職責(zé)的內(nèi)容。

ISMS要求實(shí)施具體的風(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)評(píng)估報(bào)告是ISMS審核內(nèi)容之一。ISMS體系建立的時(shí)間和風(fēng)險(xiǎn)評(píng)估的時(shí)間間隔不宜過(guò)長(zhǎng)，否則風(fēng)險(xiǎn)評(píng)估的結(jié)果不能真實(shí)反映ISMS體系運(yùn)行的真實(shí)有效性。ISO/IEC27001的風(fēng)險(xiǎn)管理流程是按照ISO31000的風(fēng)險(xiǎn)框架實(shí)施的，是ISMS審核的重要組成部分。最新的《ISO31000：2018 風(fēng)險(xiǎn)管理指南》著重在管理層面上提升企業(yè)對(duì)風(fēng)險(xiǎn)管理的重視程度。信息資產(chǎn)識(shí)別是按照組織的信息資產(chǎn)分類(lèi)辦法規(guī)定識(shí)別的，典型的信息資產(chǎn)包括硬件、軟件、信息、數(shù)據(jù)、服務(wù)、人員、無(wú)形資產(chǎn)等。組織的重要資產(chǎn)價(jià)值通過(guò)完整性、機(jī)密性、可用性賦值加權(quán)計(jì)算和對(duì)比得到。風(fēng)險(xiǎn)處置結(jié)束后要進(jìn)行風(fēng)險(xiǎn)再評(píng)價(jià)，通過(guò)風(fēng)險(xiǎn)處置方式的引入，風(fēng)險(xiǎn)可能會(huì)升高。如果風(fēng)險(xiǎn)責(zé)任人接受風(fēng)險(xiǎn)處置報(bào)告，風(fēng)險(xiǎn)評(píng)估就告一段落；如果不能接受，則要繼續(xù)進(jìn)行風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)處置的原則是適度接受風(fēng)險(xiǎn)，根據(jù)組織可接受的處置成本，將殘余風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)。一般選擇較低的支出就可以減少大量風(fēng)險(xiǎn)的處置辦法。

    信息安全風(fēng)險(xiǎn)評(píng)估和處置過(guò)程的審核，重點(diǎn)審核信息安全風(fēng)險(xiǎn)責(zé)任人或信息安全風(fēng)險(xiǎn)主責(zé)部門(mén)，了解信息安全風(fēng)險(xiǎn)管控流程是否符合信息安全標(biāo)準(zhǔn)的要求，檢查受審核方實(shí)施信息安全風(fēng)險(xiǎn)管理程序的情況，包括信息安全風(fēng)險(xiǎn)評(píng)估計(jì)劃、風(fēng)險(xiǎn)管理程序、風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià)表、風(fēng)險(xiǎn)接受準(zhǔn)則、風(fēng)險(xiǎn)處置計(jì)劃等。ISO/IEC 27001:2013在信息安全風(fēng)險(xiǎn)識(shí)別方面不再?gòu)?qiáng)調(diào)以信息資產(chǎn)為導(dǎo)向，而是與 ISO31000更加保持一致，支持更多的方法識(shí)別進(jìn)行風(fēng)險(xiǎn)識(shí)別，頭腦風(fēng)暴法、情境分析法、檢查表法等都是有效的風(fēng)險(xiǎn)識(shí)別方法。                                

4   總結(jié)

為實(shí)現(xiàn)信息安全保障，組織應(yīng)關(guān)注等級(jí)保護(hù)制度的要求，同時(shí)實(shí)施風(fēng)險(xiǎn)評(píng)估，必要時(shí)進(jìn)行ISMS評(píng)估，從制度、管理和技術(shù)的不同角度入手，合理利用信息安全評(píng)估評(píng)測(cè)制度和相關(guān)技術(shù)，提升組織的信息安全水平。

參考文獻(xiàn)：

[1]譚良,羅訊,佘堃,周明天.CC與SSE-CMM的研究與比較[J].計(jì)算機(jī)應(yīng)用研究,2006(05):38-40+43.

[2]王伏華,姚杰.風(fēng)險(xiǎn)評(píng)估與管理工具研究[J].電腦知識(shí)與技術(shù),2011,7(30):7388-7389+7392.

[3]謝宗曉,李寬.通用準(zhǔn)則(CC)與信息安全管理體系(ISMS)的比較分析[J].中國(guó)質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報(bào),2018(07):28-32.

[4]郭琳. 基于ITBPM的校園網(wǎng)信息安全防護(hù)研究[D].陜西師范大學(xué),2011.

[5]李成,曲振華.物聯(lián)網(wǎng)風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)淺析[J].現(xiàn)代電信科技,2014,44(10):32-35.

[6]鐘瑞瓊,姜靈敏,蔣吉頻,鄺麗敏.信息服務(wù)外包安全監(jiān)管對(duì)策研究[J].廣東農(nóng)工商職業(yè)技術(shù)學(xué)院學(xué)報(bào),2012,28(02):73-77.   

(注：本文來(lái)自于《電子產(chǎn)品世界》2020年11月刊)